Быстрый старт
Версия Termit: 2.2
1. Быстрый старт
Быстрый старт поможет вам ознакомиться с процессом установки и настройки системы терминального доступа «Термит» (СТД «Термит») в режиме «Standalone».
«Standalone» — это тип развертывания, который не требует высокой доступности и отказоустойчивости системы. Такой вариант подходит для тестовой инсталляции. Также СТД «Термит» можно развернуть в режиме «High Availability» с несколькими брокерами, балансировщиком нагрузки, шлюзом удаленного доступа, с внутренними и внешними пользователями. Подробнее в руководстве по установке.
В этом разделе описаны шаги по:
2. Шаг 1. Подготовка окружения
Этот сценарий предполагает установку компонентов на операционных системах (ОС) на РЕД ОС 7.3.4 и Windows Server 2019. Установку на других ОС смотрите в руководстве по установке.
Для подготовки окружения:
В «СТД Термит» не предусматривается установка всех компонентов на одном сервере, в том числе и в тестовой среде. |
-
Разверните минимум четыре виртуальные машины (ВМ):
-
для терминального сервера на Windows и Linux;
-
для брокера. На этой ВМ будет устанавливаться сервис;
-
для сервера баз данных.
Подробнее о базовой архитектуре.
-
-
Подготовьте клиентскую машину на Windows или Linux.
-
Проверьте доступ к службе каталогов AD.
-
Введите терминальный сервер в домен службы каталогов.
-
Проверьте с помощью команд
nslookup
,ping
, что брокер, терминальный сервер и база данных зарегистрирован на DNS-сервере и доступен. В выводе команды не должно быть ошибок. -
В каталоге пользователей:
-
создайте сервисную учетную запись для синхронизации объектов из службы каталогов. Обязательно отключите опцию «User must change password at next logon» и включите «Password never expires»;
-
создайте три группы, например «termit admins», «termit helpdesk» и «termit users»;
-
добавьте в состав групп учетные записи пользователей для взаимодействия с СТД «Термит».
-
Далее перейдите к настройке базы данных.
3. Шаг 2. Базовая конфигурация базы данных
|
В этом разделе представлена базовая информация по подготовке сервера баз данных PostgreSQL на РЕД ОС.
-
Установите PostgreSQL с помощью команды:
sudo dnf install postgresql15-server
-
Инициализируйте базу данных с помощью команды:
sudo postgresql-15-setup initdb
-
Запустите сервис PostgreSQL с помощью команды:
sudo systemctl enable postgresql-15.service --now
-
Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации
/var/lib/pgsql/15/data/postgresql.conf
параметрlisten_addresses
должен соответствовать значению'*'
:В инструкции предлагается установить для параметра
listen_addresses
значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например:listen_addresses
='192.168.1.1' илиlisten_addresses
='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.
-
Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации
/var/lib/pgsql/15/data/pg_hba.conf
строку:host all all 0.0.0.0/0 password
В инструкции предлагается добавить в файл конфигурации
/var/lib/pgsql/15/data/pg_hba.conf
строку:host all all 0.0.0.0/0 password
Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:
host all all 192.168.1.0/24 password
Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.
Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.
-
Запустите сессию служебного пользователя postgres с помощью команды:
sudo su - postgres
-
Запустите командную оболочку postgres с помощью команды:
psql
-
Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:
CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
-
Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:
exit
-
Перезапустите сервис PostgreSQL с помощью команды:
sudo systemctl restart postgresql-15.service
Далее перейдите к установке брокера.
4. Шаг 3. Установка брокера
Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):
|
-
Чтобы установить Docker, Docker Compose, выполните команду:
sudo dnf install docker-ce docker-ce-cli docker-compose
-
Чтобы установленные компоненты добавить в автозагрузку, выполните команду:
sudo systemctl enable docker --now
-
Скопируйте дистрибутив на сервер.
-
Распакуйте архив с помощью команды:
unzip termit-2.*.*-*.zip
-
При необходимости выдайте права на запуск скрипта с помощью команды:
sudo chmod +x ./install.sh
-
Запустите скрипт:
sudo ./install.sh install
-
Введите пароль локального администратора системы.
-
Укажите имя узла брокера. Имя может быть любым, например «broker.example.com».
-
Появится сообщение:
«What do you want to do? (1/2) 1. Install first node of a new cluster 2. Add a new node to existing cluster Enter 1 or 2»
Укажите «1».
-
Введите FQDN-адрес брокера (инсталляция «Standalone»), например «broker.example.com». Портал будет доступен по этому адресу.
Появится сообщение: Do you want to connect to existing database or create a new one? (1/2)
-
Укажите «2» для создания новой базы данных.
-
Укажите имя хоста БД, например «db.example.com».
-
Укажите порт «5432».
-
Укажите имя новой БД, например «termitdb».
-
Укажите имя пользователя БД, например «termit».
-
Введите пароль для БД.
Установка брокера занимает около двух минут.
Для подтверждения успешной операции перейдите на страницу, например «broker.example.com», и проверьте, что брокер доступен и отображается страница аутентификации.
|
Далее перейдите к настройке брокера.
5. Шаг 4. Настройка брокера
В этом разделе описано, как создать сервер и группу серверов, настроить LDAP, добавить роли и опубликовать приложение.
5.1. Создание сервера
Чтобы создать терминальный сервер:
-
В браузере, в адресной строке введите адрес брокера, например https://broker.example.com.
-
На странице авторизации укажите:
-
Учетная запись — tadm.
-
Пароль — admin.
-
-
Нажмите Войти.
-
На портале администрирования, в левом меню выберите раздел Серверы.
-
В правом верхнем углу нажмите Новый сервер.
-
На вкладке Новый терминальный сервер:
-
FQDN адрес сервера — укажите FQDN-адрес терминального сервера.
-
Тип — выберите операционную систему Linux или Windows.
-
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов группу выбирать не нужно, так как она еще не создана.
-
Нажмите Далее.
-
На вкладке Подтверждение информации проверьте информацию о сервере и нажмите Создать.
-
Скопируйте указанную команду в надежное место. Она понадобиться после настройки терминального сервера.
Созданный сервер появится в списке со статусом «Включен». Далее перейдите к настройке протокола LDAP.
5.2. Настройка LDAP
В системе для аутентификации пользователей по паролю и получения информации о пользователях, группах и связях между ними используется служба каталогов Active Directory (AD). Подробнее о настройке других LDAP-каталогов смотрите в руководстве администратора.
Также поддерживаются защищенные протоколы передачи данных LDAP Over SSL и LDAP StartTLS.
Чтобы настроить LDAP:
-
В левом меню выберите раздел Настройки.
-
На вкладке Общие настройки наведите указатель мыши на LDAP и нажмите .
-
Включите LDAP используется.
-
Задайте параметры для подключения службы каталогов:
-
Базовое уникальное имя. Например, для домена example.com: «DC=example,DC=com»;
-
Имя пользователя. Например, для домена example.com: CN=termitsvc,CN=users,DC=example,DC=com;
-
Пароль — пароль от сервисной учетной записи;
-
Период синхронизации (минуты).
-
-
Нажмите Далее.
-
Чтобы настроить параметры используемого типа LDAP:
-
Тип LDAP каталога — выберите AD:
-
Класс для объекта User — user
-
Класс для объекта Group — group
-
Атрибут, используемый для идентификации объектов — objectGUID
-
Атрибут, используемый для получения отображаемого имени пользователя — cn
-
Атрибут, используемый для получения отображаемого имени группы — cn
-
Атрибут, используемый для поиска пользователя — samAccountName
-
Атрибут со списком членов групп — member
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — distinguishedName
-
Атрибут, используемый для аутентификации на терминальном сервере — msDS-PrincipalName
-
Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.
-
-
-
Нажмите Далее.
-
Чтобы добавить адрес сервера LDAP, нажмите .
Система всегда работает с первым сервером LDAP. Если сервер становится недоступен, система переходит к следующему.
-
Укажите:
-
Адрес — IP-адрес или FQDN LDAP-сервера, например «termit-example-01.com».
-
Протокол — выберите из списка:
Перед выбором протоколов LDAP Over SSL и LDAP StartTLS добавьте доверенный сертификат.
-
LDAP — технология шифрования данных при подключении к LDAP-серверу не используется. Данные передаются в открытом виде по порту 389. Не рекомендуется использовать в продуктовых инсталляциях.
-
LDAP Over SSL — защищенная версия протокола LDAP, которая использует технологию шифрования SSL/TLS при подключении к LDAP-серверу по порту 636.
-
LDAP StartTLS — защищенная версия протокола LDAP, при использовании которой сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование.
-
-
Порт — порт выбирается автоматически в зависимости от выбранного протокола. При необходимости параметр можно изменить.
-
-
Нажмите
. -
На вкладке Подтверждение информации проверьте информацию о сервере LDAP и соединение. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
При успешном соединении появится сообщение «Проверка соединения прошла успешна».
-
Нажмите Сохранить.
Состояние синхронизации LDAP и системы смотрите в левом меню, в разделе Журнал событий.
LDAP настроен. Перейдите к добавлению ролей.
5.3. Настройка ролей
В системе предусмотрены следующие роли:
-
Администраторы. Администраторы могут полностью контролировать систему, например, управлять серверами, пользователями и приложениями.
-
Служба поддержки. Служба поддержки может просматривать настройки, информацию о серверах и сессиях в разделе Обзор, журнал событий, список сессий, завершать сессии и блокировать пользователей. Выполняет функцию L1 технической поддержки.
-
Пользователи. У пользователей есть учетные записи, с помощью которых они имеют доступ к СТД «Термит». Только пользователи могут запускать приложения.
Чтобы добавить:
-
В левом меню выберите раздел Настройки.
-
Перейдите на вкладку Роли.
-
Наведите указатель мыши на Администраторы и нажмите .
-
Нажмите .
-
Добавьте группы из каталога пользователей для роли администраторов. Можно добавить несколько групп. Поддерживаются вложенные группы.
-
Нажмите
.
Добавленная роль появится в списке.
Для ролей Служба поддержки и Пользователи повторите действия из шагов 3-6. Далее перейдите к созданию группы серверов.
5.4. Создание группы серверов
Чтобы создать группу серверов:
-
В левом меню выберите раздел Группы серверов.
-
В правом верхнем углу нажмите Новая группа.
-
На вкладке Основные настройки:
-
Имя — укажите название группы терминальных серверов.
-
Тип — выберите операционную систему Linux или Windows.
-
(Опционально) Описание — добавьте описание группы серверов.
-
-
Нажмите Далее.
-
На вкладке Терминальные серверы выберите из списка сервер, который создали ранее.
-
Нажмите Далее.
-
На вкладке Подключение сетевых дисков можно настроить, какие сетевые диски будут доступны пользователям в терминальной сессии. Подробнее смотрите в руководстве администратора.
-
Нажмите Далее.
-
На вкладке Балансировка терминальных серверов оставьте значение весов по умолчанию. Подробнее о балансировке серверов.
-
На вкладке Таймауты сессий оставьте значения по умолчанию. Подробнее смотрите в руководстве администратора.
-
Нажмите Далее.
-
На вкладке Подтверждение информации проверьте информацию о группе серверов и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
Созданная группа появится в списке. Далее перейдите к публикации приложения.
5.5. Публикация приложения
Чтобы опубликовать приложение:
-
В левом меню выберите раздел Приложения.
-
В правом верхнем углу нажмите Добавить приложение.
-
На вкладке Основные настройки:
-
Имя — укажите название приложения, например «Блокнот».
-
(Опционально) Наименование у пользователя — укажите название приложения, которое будет отображаться у пользователя, например «Блокнот».
-
Операционная система — выберите Linux или Windows.
-
Тип — выберите Приложение или Рабочий стол.
-
Команда для запуска — укажите команду:
-
для запуска приложения. Необходимо задать полный путь к файлу приложения, например
C:\Program Files\Microsoft VS Code\Code.exe
.Короткую команду можно использовать, если:
-
она позволяет запустить приложение напрямую на терминальном сервере;
-
расположение приложения добавлено в переменную среды
PATH
, напримерnotepad.exe
.
-
-
для запуска рабочего стола:
-
Linux:
-
XFCE —
xfce4-session
-
MATE —
mate-session
-
FLY —
fly-wm
-
-
Windows:
-
Explorer —
explorer.exe
-
-
-
-
(Опционально) Версия — версия приложения.
-
(Опционально) Описание — описание приложения.
-
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов выберите группу серверов для приложения, которую создали ранее.
-
Нажмите Далее.
-
На вкладке Группы доступа приложения:
-
Нажмите и выберите из списка группу, которая будет иметь доступ к этому приложению.
-
Нажмите Сохранить.
-
-
Нажмите Далее.
-
На вкладке Подтверждение информации проверьте информацию о приложении и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
После добавления приложение появится в списке со статусом «Вкл.».
Далее перейдите к настройке терминального сервера.
6. Шаг 5. Настройка терминального сервера
Перед установкой агента на терминальный сервер установите дополнительное ПО на терминальный сервер.
Windows
Ниже описано, как добавить роль, агент и изменить политики пользователей на терминальном сервере.
Для Windows Server 2012R2 и Windows Server 2016 (редакции ниже 1803) необходимо:
|
-
Активируйте роль «Remote Desktop Session Host» («Узел сеансов удаленных рабочих столов»):
-
Откройте
. -
В правом верхнем углу нажмите Управление.
-
Выберите Добавить роли и компоненты.
-
Нажмите Далее.
-
На вкладке Тип установки оставьте по умолчанию опцию Установка ролей и компонентов.
-
Нажмите Далее.
-
На вкладке Выбор сервера оставьте по умолчанию Выберите сервер из пула серверов.
-
Нажмите Далее.
-
На вкладке Роли сервера включите опцию Службы удаленных рабочих столов.
-
Нажмите
. -
На вкладке Службы ролей включите опцию Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) и нажмите Добавить компоненты.
-
Нажмите
.После установки и добавления роли перезагрузите ВМ.
-
-
Включите политику «Разрешить удаленный запуск любых программ» и выключите политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов»:
-
Откройте консоль MMC.
-
В левом верхнем углу нажмите Файл и выберите Добавить или удалить оснастку.
-
В доступных оснастках выберите Редактор объектов групповой политики.
-
В параметре Объект групповой политики оставьте по умолчанию Локальный компьютер.
-
Нажмите
. -
Раскройте Политика «Локальный компьютер».
-
Раскройте
. -
Выберите
. -
Нажмите два раза правой кнопкой мыши на политику «Разрешить удаленный запуск любых программ».
-
Активируйте опцию Включено и нажмите ОК.
-
Нажмите два раза правой кнопкой мыши на политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов».
-
Активируйте опцию Отключено и нажмите ОК.
-
Откройте
cmd.exe
и примените политики с помощью командыgpupdate /force
или перезагрузите сервер.После успешной операции в выводе команды появится сообщение «Computer Policy update has completed successfully».
-
-
Добавьте «Разрешить доменным пользователям подключаться по RDP»:
-
Удобным способом откройте Управление компьютером.
-
Выберите Локальные пользователи и группы.
-
Выберите
. -
Двойным кликом мыши нажмите на Пользователи удаленного рабочего стола.
-
Нажмите Добавить.
-
В поле Введите имена выбираемых объектов (примеры): введите Пользователи домена.
-
Нажмите
.
-
-
Настройте порты.
-
Установите агент, используя скрипт, полученный при создании сервера.
Далее перейдите к установке десктоп-клиента.
РЕД ОС
Ниже описано, как установить Java 11, X2Go и агент на терминальный сервер.
-
В файле конфигурации
sshd (/etc/ssh/sshd_config)
, в параметреX11Forwarding
, укажите значение «yes». -
Чтобы установить Java 11 на терминальный сервер, выполните команду:
sudo dnf install java-11-openjdk
-
Чтобы изменить версию Java, используемую по умолчанию, выполните команду:
sudo alternatives --config java
И выберите пункт меню, соответствующий Java 11.
-
Чтобы установить X2Go server на терминальный сервер, выполните команду:
sudo dnf install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver x2goagent
-
Настройте межсетевой экран.
-
Установите агент, используя скрипт, полученный при создании сервера.
Далее перейдите к установке десктоп-клиента.
7. Шаг 6. Установка десктоп-клиента
В этом разделе описано, как установить десктоп-клиент на локальный ПК.
Windows
Чтобы установить десктоп-клиент:
-
В левом меню выберите раздел Скачать клиент.
-
Перейдите на вкладку Windows.
-
Скачайте Термит клиент для Windows 10/11 и установите его.
После успешной установки десктоп-клиент будет запущен. Далее запустите приложение.
РЕД ОС
Чтобы установить десктоп-клиент:
-
В левом меню выберите раздел Скачать клиент.
-
Перейдите на вкладку Linux.
-
Скачайте Термит клиент для Linux rpm и выполните шаги по установке.
-
Установите FreeRDP:
-
Обновите репозиторий с помощью команды:
sudo dnf update
-
Установите FreeRDP:
sudo dnf install freerdp-krb
-
Установите десктоп-клиент:
sudo dnf install ./termit-desktop-2.*.*-amd64.rpm
Где:
./termit-desktop-2..-amd64.rpm
— название файла.
-
После успешной установки клиент будет запущен. Далее запустите приложение.
8. Шаг 7. Запуск приложения
Чтобы запустить приложение:
-
Запустите десктоп-клиент Термит.
Если корневой сертификат отсутствует в системе, то запустите клиент с параметром:
--ignore-certs
-
Укажите FQDN-адрес сервера, по которому доступна СТД «Термит», и нажмите Войти.
-
Введите имя пользователя и пароль от доменной учетной записи.
«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.
-
Нажмите Войти.
-
Перейдите в раздел Приложения.
-
На вкладке Все категории выберите приложение и нажмите .
Откроется интерфейс приложения. Далее подключите ресурсы.
9. Шаг 8. Подключение ресурсов
В этом разделе описано, как подключить буфер обмена, принтер, смарт-карты, диски и звук удаленного рабочего стола.
Буфер обмена, принтер и смарт-карты
В разделе Настройки выполните следующие действия:
-
Наведите указатель мыши на Локальные устройства и ресурсы и нажмите :
-
Чтобы включить общий буфер обмена для копирования материалов, включите опцию Общий буфер обмена.
-
Если вы хотите печатать на принтер, который подключен к локальному ПК, то включите опцию Доступ к принтерам локального компьютера.
-
Если вы хотите подписывать документы в терминальной сессии (RDP) с использованием локальных смарт-карт, то включите опцию Перенаправление смарт-карт.
-
-
Нажмите Обновить.
Диски
Если необходимо перенести, например, документы с локального компьютера на терминальную сессию, можно подключить диск. Для этого:
-
Наведите указатель мыши на Подключаемые диски и нажмите .
-
Нажмите .
-
Чтобы добавить диск, в параметре Расположение нажмите .
-
Нажмите
.
Звук удаленного рабочего стола
Чтобы включить воспроизведение звука удаленного рабочего стола:
-
Наведите указатель мыши на Звук удаленного рабочего стола и нажмите .
-
Включите Воспроизведение звука удаленного рабочего стола.
-
Нажмите Обновить.
Эта настройка также влияет на перенаправление звука с локального компьютера в сессию.